Назад | Перейти на главную страницу

Applocker не запрещает SQL Server запускать внешний исполняемый файл

Я наблюдаю смешанные результаты с Applocker, и я надеюсь, что коллективная мудрость здесь поможет мне исправить.

У меня есть исполняемый файл badcommand.exe что я хочу запретить всем запускаться. Я создаю политику блокировки приложений с SID для всех, чтобы запретить выполнение. Если я выполняю команду через консоль, блокировщик приложений предотвращает выполнение. Но если я выполню команду, используя sqlsrvr.exe и xp_cmdshell, команда будет успешно выполнена под виртуальной или локальной учетной записью, которой принадлежит sqlsrvr.exe.

Мой вопрос: почему блокировщик приложений запрещает выполнение из консоли, но не из службы?

Пример политики для отказа - cmd.exe:

<FilePublisherRule Id="XXX-" Name="deny CMD.EXE" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MICROSOFT® WINDOWS® OPERATING SYSTEM" BinaryName="CMD.EXE">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>